TrojanRésolu/Fermé

Question

Bonjour, après un problème lié à Live Security Platinium dont je n'arrivais pas à me débarrasser, mon ordinateur et plus particulièrement Microsoft Security Essential a commencé à me trouver des virus. J'ai redémarré mon ordinateur et depuis Mcrosoft Security Essential commence par me dire que tout vas bien puis il m'annonce un danger avant de lancer une analyse qu'il ne peut bien sur pas finir et enfin quand je lui demande de faire les actions recommandées pour le fameux danger détecté on m'annonce que le pc va redémarrer dans une minute. MSE essaie de supprimer le virus mais il n'a jamais le temps puisque le pc redémarre automatiquement avant. Voila le non du fameux virus que MSE essaie toujours de supprimer :

trojan:win64/Sirefef.W

J'ai essayé de désactiver le redémarrage automatique, une récupération système... mais rien à faire. Je vous serais très reconnaissant de m'aider alors merci d'avance.

nanardu78 · Answer

Non balancedespaiement je ne vous remercierai pas pour votre réponse ultra rapide pour la simple et bonne raison que vous ne répondez pas le moins du monde à ma question, ensuite un bonjour serait la bienvenue (je l'ai fais et ça m'a pas tué) et pour finir je vous ai parlé du redémarrage systématique de mon ordinateur qui m'empêche de m'en servir alors franchement si vous croyez que vos infos vaseuses trouvables n'importe ou sur la toile que vous m'avez ''balancé'' vont mettre d'une quelconque utilité vous avez un léger grain. En fait dès l'instant qu'une personne site le nom de Live Security Platinium vous leur balancez votre lien. Sauf que je suis pas crétin, je sais très bien comment supprimer ce truc et de toute façon le problême viens surement plus de la.
Désolé pour tout les autres mais je supporte pas qu'on balance des liens comme ça au gens l'air de dire démerde toi. Je remercie d'avance les autres membres de leurs réponses et je pris balance truc de ne plus m'envoyer des réponses de .erde.

tanteelise · Answer

Bonjour,

téléchargez et intallez malwarbytes  (si vous ne l'avez pas déjà) :

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

Vous le mettez à jour.

Ensuite, faites en scan complet de votre disque, en mode sans échec ( tapotez sur la touche F8 au démarrage du pc) 
Celui-ci peut durer assez longtemps. Vous supprimez tout ce qu'il pourrait vous trouver, et redémarrez le pc, si il le demande.

Cordialement

D3LT4lPR0 · Answer

Cherche pas , il y a quelques trollers qui s'amuse à créer des sujets inutiles et font des réponses aussi inutile comme "télécharge ccleaner" sur un sujet ou il y a un virus ...

Bref , ignore les , et si il sont vraiment embêtant signale leur messages.

nanardu78 · Answer

Merci beaucoup !!! Je vais essayer ça de suite mais le truc c'est que même en mode sans échec mon ordi me laisse pas le choix et me dis qu'il va redémarrer dans 1 minute (heureusement j'ai un autre ordi c'est pour ça que je peux vous écrire).

tanteelise · Answer

Re- 

Aussi, je vous conseillerais de désinstaller votre antivirus, si le virus à pris la main, et de le réinstaller après avoir fait la vérification avec malwarbytes. Si le mode sans échec ne fonctionne pas, faites le en mode normal. 


"Le peu que je sais, c'est à mon ignorance que je le dois" (Sacha Guitry)  
Absence de réponses à partir de 17-18H, merci de votre compréhension  :)

nanardu78 · Answer

Est-il possible de le désactiver avant de le désinstaller parce que je n'ai pas le temps de le désinstaller que mon ordi s'éteint.

tanteelise · Answer

re-

avez-vous réussi à faire fonctionner malwarbytes ?

Si ce n'est pas le cas, normalement vous devriez pouvoir désactiver votre antivirus.
Désolée, je dois vous laisser pour aujourd'hui (voir signature :) ) 
je regarderai dès demain dans l'avant midi.

Cordialement

nanardu78 · Answer

Bon en fait je ne peux rien faire du tout puisque quoiqu'il se passe Security Essential détecte le fameux problème et tout de suite un message me dit que l'ordi va redémarrer après une minute. Je ne peux rien désinstaller, rien supprimer, rien installer. Je ne peux pas faire de restauration système. J'ai désactiver la protection en temps réel mais rien ne change.

J'espère que je vais trouver et je vous remercie de votre aide.

nanardu78 · Answer

Le fameux message affiché c'est ça : 
Windows a rencontré un problème critique et redemarrera automatiquement dans une minute. Enregistrer votre travail maintenant.

Destrio5 · Answer

Bonjour, 

C'est une infection pas forcément facile à retirer. 


1/ 

--> Utilise l'option "Suppression" de RogueKiller puis poste le rapport : 
https://www.commentcamarche.net/faq/30719-utiliser-roguekiller#utilisation-de-roguekiller 


2/ 

--> Suis le tutoriel suivant pour utiliser ComboFix puis poste le rapport : 
https://www.commentcamarche.net/faq/33099-supprimer-l-infection-zaccess-sirefef#cinquieme-outils-combofix


J'y vais, bonne nuit.

nanardu78 · Answer

Merci beaucoup, j'adorerais suivre vos instructions mais le vrai problème dans tout ça c'est que je vous parle en ce moment à partir d'un autre ordinateur. Si j'essaye de telecharger roguekiller sur mon pc défaillant, je ne pense même pas avoir le temps d'ouvrir une page net et encore moins le temps de telecharger le logiciel. Enfin vous me comprenez, je vais avoir le droit au message habituel et après ça il va redémarrer dans la minute qui suit. Le pire c'est que j'ai bien l'impression que c'est le même tarif pour le mode sans échec que ce soit avec ou sans prise en charge réseau. Donc je suis plus que bloqué...

Merci de votre aide.

nanardu78 · Answer

Ah ok j'avais pas vu le dernier message. Je vais essayer merci.

nanardu78 · Answer

Merci beaucoup tanteelise toutefois je préfère attendre une marche à suivre précise et l'avis de Destriot 5 pour être sur et ne pas faire de conneries. 

Merci encore et j'attends avant de me lancer.

tanteelise · Answer

Re  

c'est comme vous voulez. j'ai déjà utilisé cet iso plusieurs fois, mais il est vrai que quelques fois il trouve des faux "positifs"  

Par contre vous pouvez faire l'iso antivir sans danger :  

https://www.commentcamarche.net/faq/22656-antivirus-bootable-scanner-son-systeme-avec-antivir  

Cordialement  
"Le peu que je sais, c'est à mon ignorance que je le dois" (Sacha Guitry)   
Absence de réponses à partir de 17-18H, merci de votre compréhension  :)

nanardu78 · Answer

OK merci j'ai regardé ce que je vais devoir faire mais j'ai une question que je préfère poser avant de me lancer : comment je ferai pour savoir une fois l'analyse terminée si les fichiers infectés qu'il me trouve sont importants ou pas ? Ce sera marqué ou bien je fais le truc et je vous demande dès que j'arrive à cette étape. Ca me semble pas très compliqué mais je ne veux pas faire de bêtises. Autrement, Nero Burning Rom 11 c'est bien pour graver dans mon cas ou pas ?

Merci beaucoup à tous.

nanardu78 · Answer

Oui merci beaucoup pour graver ca va aller par contre je ne vois pas comment démarrer mon ordi sur le lecteur cd. Je m'excuse pour mes questions mais je veux comprendre ce que je fais. En tout cas merci pour vos réponses rapides.

tanteelise · Answer

De rien :) vous devriez voir lors du démarrage de votre pc, press F ?? to boot , enfin, quelque chose comme cela , il faut voir si c'est F2 ou F?? je ne sais pas, cela varie d'un pc à l'autre. Ensuite vous choisissez avec les flêches de votre clavier, CD/DVD en premier. Vous validez et le pc va démarrer sur le cd. Il faut que le cd soit dans le lecteur. 
Ensuite vous verrez, appuyer sur une touche pour démarrer du cd,(en français ou en anglais)  vous faites par exemple la barre d'espacement .
et le cd va démarrer, vous suivez les instructions, comme dans le lien.

nanardu78 · Answer

Alors, j'allume mon pc, écran noir et on me propose :
-Mode sans échec
-Mode sans échec avec prise en charge réseau
-Invite de commandes en mode sans échec

-Démarrer windows normalement

Je met le cd et rien ne se passe et si je redémarre mon pc normalement il me propose plus rien et arrive directement sur mon écran de session. 

Que faire ? Merci

tanteelise · Answer

Re-

vous n'êtes pas dans le bios, pour l'ordre de boot.
Regardez bien au démarrage vous deriez voir "press ?? to boot setup" et au démarrage vous tapotez sur cette touche ??

nanardu78 · Answer

Quand j'allume je n'ai qu'un petit "_" qui clignote et c'est tout.

Sur mon pc (portable) j'ai un bouton d'allumage à droite et un autre à gauche avec un cercle dont le haut n'est pas fermé et il y a un éclaire dessus puis un slach et un bonhomme qui cours mais si j'appuie dessus il me propose des trucs bizarre avec un choix de langue.

Donc je sais pas trop.

Destrio5 · Answer

Marque et modèle du PC ?

nanardu78 · Answer

Bonjour Destrio5, alors c'est un 
Asus N73JF-TZ106V
Windows 7 Ed.Fam. (64 Bits)

Voilà je sais pas si c'est ça dont vous avez besoin.

Merci

nanardu78 · Answer

Quand j'appuie sur échappe quand le tiré clignote j'arrive sur une page ou l'on me met :

Choisissez un chemin d'exploitation ou appuyez sur TAB pour choisir un outil :

     Windows 7

Pour spécifier une option avancée pour cette sélection, appuyez sur F8


Outils :
     Windows Memory Diagnostic

Faut-il que j'appuie sur F8 ?

nanardu78 · Answer

AH !, on me propose lorsque j'appuie sur F8 plusieurs choses :


Choisissez les options avancées pour : Windows 7

   Réparer l'ordianteur

   Mode sans échec
   Mode sans échec avec prise en charge réseau
   Invite de commandes en mode sans échec

   Inscrire les événements de démarrage dans le journal
   Activer la vidéo basse résolution (640x480)
   Dernière configuration valide connue (option avancée)
   Mode restauration des services d'annuaire 
   Mode débogage
   Désactiver le redémarrage automatique en cas d'échec du système 
   Désactiver le contrôle obligatoire des signatures de pilotes

   Démarrer windows normalement


Alors que dois-je faire selon vous ?

nanardu78 · Answer

Ah désolé pas vu votre message précédent ...

Bon je vais essayer votre méthode.

Merci

nanardu78 · Answer

La touche del c'est la touche retour arrière ou bien suppr ?

Merci

nanardu78 · Answer

Quand j'appuie sur F10 lorsque le tiré clignote j'arrive sur cette page :

Modifiez les options de démarrage Windows pour : Wondows 7
Chemin d'accès : 

etc ...


Je vais continuer en essayant les autres parce que c'est pas ça je pense

nanardu78 · Answer

Non ça m'envoie toujours sur la même page ou on me dit :

Pour spécifier une option avancée pour cette sélection, appuyez sur F8

Outils: Windows Memory Diagnostic et ça pour toutes les touches sauf F10 comme je l'ai dis plus haut. J'appuie sur les touches quand le tiré clignote.

tanteelise · Answer

Tentez ce que destrio5 vous a conseillé : F2

nanardu78 · Answer

Non j'ai essayé toutes les touches dont vous m'avez parlé et je suis loin d'avoir ce genre d'écran. Moi je n'ai qu'un écran noir avec du texte en blanc par dessus.

nanardu78 · Answer

Ok merci beaucoup de votre aide quand même. Je vais continuer à chercher.

Destrio5 · Answer

F2 à l'écran Asus au démarrage, ça ne donne rien ?

nanardu78 · Answer

OK !!! Fallait appuyer plus tot... Alors donc voila ce que j'ai :

                                   Please select boot device :
-------------------------------------------------------------------------------------------------------
P0 :  ST9500325AS
P4 :  ST9500325AS
P1 :  HL-DT-ST BDDVDRW CT30N
Enter Setup
-------------------------------------------------------------------------------------------------------
                (flèche vers le haut) and (flèche vers le bas) to move selection
                Enter to select boot device

Destrio5 · Answer

HL-DT-ST BDDVDRW CT30N est la référence de ton lecteur/graveur CD/DVD.

nanardu78 · Answer

Donc je fais entrer lorsque P1: .......  est en surbrillance n'est-ce pas ?

Destrio5 · Answer

Oui.

nanardu78 · Answer

J'ai attendu et ça me marque :




               Sorry but network connection could not be established.
               Updates and online shop are not available.

                                          OK




?????? Je ne sais pas quoi faire. Merci

nanardu78 · Answer

Je vais continuer à suivre la démarche de la page ...

nanardu78 · Answer

On me dis de choisir l'anglais mais je peux choisir le français alors je le prend non ?

Destrio5 · Answer

Je ne sais pas comment fonctionne "Avira Antivir Rescue System".

nanardu78 · Answer

Bon sur ce lien : http://www.commentcamarche.net/faq/22656-antivirus-bootable-scanner-son-systeme-avec-antivir
On me dis que je dois faire une mise à jour si possible de avira mais ça me met que c'est pas possible du coup j'ai lancé le scan direct. Enfin bon je suis ce qu'on me dis comme je peux. Je vous tiens au courant.

nanardu78 · Answer

AHAHA il trouve des trucs ; déjà 6 !!

Destrio5 · Answer

Tu vois des noms comme Sirefef, Z.Access ?

nanardu78 · Answer

Non il y a que de ces cochonneries de Trojan Horse et Rogue... J'ai 13 résultats positifs et je sais pas d'ou ça viens franchement c'est peut etre quand je faisais ma mise à jour d'antivirus  javais eu un probleme avec Live Security Platinium. J'avais pu m'en débarasser mais mon Microsoft security essentials ne fonctionnait plus alors je l'avait supprimé puis réinstaller et en redémarrant mon pc : gros probleme.

Bon je vous tient au courant quand le scan sera fini.

nanardu78 · Answer

Le scan est terminé. J'ai enregistré le rapport. Je vais tenté d'acceder à mon bureau d'ordi pour le copier et le poster ici mais pas sur que j'ai le temps sauf si mon pc ne redémarre plus constamment. En fait le programme me dis que 14 fichiers sont infectés, 14 ont été renommés, j'ai 15 avertissements, et donc 14 infections. La plupart sont marquées comme ayant été renommées et seuelment 3 sont marquées : archive scan abort. Il est posible de refaire un scan ou cette fois les infections seront supprimé mais je vais d'abord vous poster le rapport.

nanardu78 · Answer

Voila le rapport contenu dans le dossier resvue-system_scan.log que j'ai pu récupérer sur mon pc malgré qu'il continu à redémarrer : Avira / Linux Version 1.9.152.0 Copyright (c) 2010 by Avira GmbH All rights reserved. engine set: 8.2.10.80 VDF Version: 7.11.32.110 Scan start time: Sun Jun 10 20:23:25 2012 configuration file: /etc/avira/scancl.conf WARNING: [File is encrypted] /media/Devices/sda1/asus.swm --> object WARNING: [Unexpected end of file] /media/Devices/sda1/asus3.swm --> object WARNING: [Unexpected end of file] /media/Devices/sda1/asus3.swm --> object WARNING: [File is encrypted] /media/Devices/sda2/eSupport/eDriver/Software/Trendmicro/TIS2009/XP32_Win7_32_Win7_64_17.50.1493/Tools/32bit/SICTOOL/SICBASE.DAT WARNING: [File is encrypted] /media/Devices/sda2/eSupport/eDriver/Software/Trendmicro/TIS2009/XP32_Win7_32_Win7_64_17.50.1493/Tools/64bit/SICTOOL/SICBASE.DAT WARNING: [All files in archive are encrypted] /media/Devices/sda2/Program Files (x86)/InstallShield Installation Information/{F232C87C-6E92-4775-8210-DFE90B7777D9}/SupportFiles.7z WARNING: [Bad compressed data] /media/Devices/sda2/Program Files (x86)/SDATimer/Uninstall.exe WARNING: [Archive is invalid or corrupt] /media/Devices/sda2/Program Files (x86)/WinRAR/rarnew.dat WARNING: [The files in archive are multiple volume] /media/Devices/sda2/ProgramData/Microsoft/WLSetup/CabLogs/Logs.CAB WARNING: [The files in archive are multiple volume] /media/Devices/sda2/ProgramData/Microsoft/WLSetup/CabLogs/Logs2.CAB WARNING: [The files in archive are multiple volume] /media/Devices/sda2/ProgramData/Microsoft/WLSetup/CabLogs/Logs3.CAB WARNING: [All files in archive are encrypted] /media/Devices/sda2/Users/Ehoarn/AppData/Local/Temp/RarSFX0/Pack.7z ALERT: [EXP/2012-0507.BM] /media/Devices/sda2/Users/Ehoarn/AppData/Local/Temp/jar_cache3749450456771639337.tmp --> att.class <<< Contains signature of the exploits EXP/2012-0507.BM [archive scan abort] ALERT: [EXP/2012-0507.BM] /media/Devices/sda2/Users/Ehoarn/AppData/Local/Temp/jar_cache4318411671662976875.tmp --> att.class <<< Contains signature of the exploits EXP/2012-0507.BM [archive scan abort] ALERT: [EXP/2012-0507.BM] /media/Devices/sda2/Users/Ehoarn/AppData/Local/Temp/jar_cache5759467968634247471.tmp --> att.class <<< Contains signature of the exploits EXP/2012-0507.BM [archive scan abort] ALERT: [EXP/2012-0507.BM] /media/Devices/sda2/Users/Ehoarn/AppData/Local/Temp/jar_cache5933060538903157242.tmp --> att.class <<< Contains signature of the exploits EXP/2012-0507.BM [archive scan abort] ALERT: [TR/Rogue.7408045] /media/Devices/sda2/Users/Ehoarn/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/14/490de94e-1d28711d <<< Is the Trojan horse TR/Rogue.7408045 [renamed] ALERT: [TR/Rogue.7408045] /media/Devices/sda2/Users/Ehoarn/AppData/Roaming/nxssp.exe <<< Is the Trojan horse TR/Rogue.7408045 [renamed] ALERT: [TR/Dropper.Gen] /media/Devices/sda2/Windows/Installer/MSI972.tmp <<< Is the Trojan horse TR/Dropper.Gen [renamed] ALERT: [TR/Dropper.Gen] /media/Devices/sda2/Windows/Installer/MSI9D8F.tmp <<< Is the Trojan horse TR/Dropper.Gen [renamed] ALERT: [TR/Dropper.Gen] /media/Devices/sda2/Windows/Installer/MSI9D9D.tmp <<< Is the Trojan horse TR/Dropper.Gen [renamed] ALERT: [TR/ATRAPS.Gen2] /media/Devices/sda2/Windows/Installer/{9c5dea40-a09e-25a7-bbb2-65ebfe124d37}/n <<< Is the Trojan horse TR/ATRAPS.Gen2 [renamed] ALERT: [TR/Small.FI] /media/Devices/sda2/Windows/Installer/{9c5dea40-a09e-25a7-bbb2-65ebfe124d37}/U/00000001.@ <<< Is the Trojan horse TR/Small.FI [renamed] ALERT: [TR/ATRAPS.Gen] /media/Devices/sda2/Windows/Installer/{9c5dea40-a09e-25a7-bbb2-65ebfe124d37}/U/80000000.@ <<< Is the Trojan horse TR/ATRAPS.Gen [renamed] ALERT: [TR/ATRAPS.Gen2] /media/Devices/sda2/Windows/Installer/{9c5dea40-a09e-25a7-bbb2-65ebfe124d37}/U/800000cb.@ <<< Is the Trojan horse TR/ATRAPS.Gen2 [renamed] WARNING: [Bad compressed data] /media/Devices/sda2/Windows/SoftwareDistribution/Download/64973b75fd1756c1d3ab81ce077873b8/BITECDC.tmp ALERT: [TR/Kazy.67671.1] /media/Devices/sda2/Windows/SysWOW64/autoicli.dll <<< Is the Trojan horse TR/Kazy.67671.1 [renamed] WARNING: [The files in archive are multiple volume] /media/Devices/sda5/Jeux/Activision/Shocker.part1.rar WARNING: [All files in archive are encrypted] /media/Devices/sdb1/Musiques/Game Soundtrack/TES_Skyrim_OST_sonixgvn.rar Statistics : Directories............... : 35970 Archives.................. : 2027 Files..................... : 865898 Infected.............. : 14 Renamed........... : 14 Warnings.............. : 15 Suspicious............ : 0 Infections................ : 14 J'attends que vous me disiez si je peux refaire un scan qui supprimera cette les infections tandis que ce premier scan les a seulement renommées. Merci beaucoup.

leam19 · Answer

Essaie, pour le trojan, de regarder dans: executer>> msconfig >> démarrage

nanardu78 · Answer

Et je fais supprimer si je le trouve ? Je sais pas si je vais avoir le temps avant qu'il me mette le message et qu'il redémarre dans la minute qui suit mais je vais essayer.

Merci.

Destrio5 · Answer

C'est Microsoft Security Essential qui te demande de redémarrer ton PC ?

nanardu78 · Answer

Non je pense pas au début le logo de MSE est vert puis il tourne. Après il me dis qu'il a détecté des trucs et c'est là que le message s'affiche dans une fenetre qui dans la barre des taches a pour logo un triangle jaune avec un point d'exclamation noir. Je sais pas si c'es tl'ordi qui réagit à l'analyse faite par MSE ou si c'est pas plutôt le virus qui manipule mon ordi pour se protéger et m'empêcher de le supprimer. 

Leam 19, je suis sensé trouver quoi dans l'onglet démarrage de msconfig ? 

Il ne vaudrait pas mieux que je refasse le même scan mais en sélectionnant activant cette fois la supression des infections lorsqu'elles sont détectées puisque sur ce scan la les infections ont juste été renommées. ?

Destrio5 · Answer

Désactive MSE pour voir si ton PC redémarre toujours.

nanardu78 · Answer

Ca je l'ai déjà fais hier mais en fait je peux pas vraiment désactiver MSE, je peux uniquement désactiver la protection en temps réel et hier meme en faisant ca, MSE semblait toujours trouver les virus et l'ordi redémarrait quand meme mais je vais reessayer.

Destrio5 · Answer

Au pire, désinstalle-le pour l'instant.

De toute façon, il ne peut rien faire maintenant que l'infection est installée.

nanardu78 · Answer

Oui alors je vais essayer mais hier mon ordi redémarrait avant même que la désinstallation de MSE soit finit. Je vais réessayer. C'est galère.

nanardu78 · Answer

Ah gros coup de chance j'ai pu le désinstaller et donc c'est bien ça mon ordi ne redémarre plus maintenant...
Que me conseillez vous à présent ?

Destrio5 · Answer

Fais une recherche avec RogueKiller et poste le rapport.

nanardu78 · Answer

Le rapport est où ? C'est ce qu'il y a dans l'onglet MBR ?

Merci

nanardu78 · Answer

Ah non désolé je vous le post

nanardu78 · Answer

Alors voilà le rapport après le scan : RogueKiller V7.5.4 [07/06/2012] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur: Ehoarn [Droits d'admin] Mode: Recherche -- Date: 10/06/2012 21:33:58 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 10 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : Megakey (C:\Users\Ehoarn\AppData\Local\Megamedia\Megakey\Megakey.exe /Tray) -> FOUND [SUSP PATH] HKCU\[...]\Run : NXSSP Monitoring Service (C:\Users\Ehoarn\AppData\Roaming\nxssp.exe) -> FOUND [SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\Ehoarn\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND [SUSP PATH] HKUS\S-1-5-21-1650379126-1646432353-3909254661-1001[...]\Run : Megakey (C:\Users\Ehoarn\AppData\Local\Megamedia\Megakey\Megakey.exe /Tray) -> FOUND [SUSP PATH] HKUS\S-1-5-21-1650379126-1646432353-3909254661-1001[...]\Run : NXSSP Monitoring Service (C:\Users\Ehoarn\AppData\Roaming\nxssp.exe) -> FOUND [SUSP PATH] HKUS\S-1-5-21-1650379126-1646432353-3909254661-1001[...]\Run : cacaoweb ("C:\Users\Ehoarn\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND [HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST9500325AS +++++ --- User --- [MBR] 9f4a7a2e7373335b538a61828c888d62 [BSP] f2784853074f1725937a6a2142d7998d : Windows 7 MBR Code Partition table: 0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 22003 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 45062325 | Size: 119240 Mo 2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 289267712 | Size: 335695 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: ST9500325AS +++++ --- User --- [MBR] 75b990b5013ef6cf2c907f705fd86a12 [BSP] 8e2ccfdddeecdd8f0ccd1b6ce07bff6c : Windows 7 MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 238469 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 488386560 | Size: 238469 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

Destrio5 · Answer

Ok, relance-le, choisis l'option "Suppression" puis poste le rapport.

nanardu78 · Answer

Voilà le rapport après supression : RogueKiller V7.5.4 [07/06/2012] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur: Ehoarn [Droits d'admin] Mode: Suppression -- Date: 10/06/2012 21:44:36 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 7 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : Megakey (C:\Users\Ehoarn\AppData\Local\Megamedia\Megakey\Megakey.exe /Tray) -> DELETED [SUSP PATH] HKCU\[...]\Run : NXSSP Monitoring Service (C:\Users\Ehoarn\AppData\Roaming\nxssp.exe) -> DELETED [SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\Ehoarn\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> DELETED [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2) [HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1) [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST9500325AS +++++ --- User --- [MBR] 9f4a7a2e7373335b538a61828c888d62 [BSP] f2784853074f1725937a6a2142d7998d : Windows 7 MBR Code Partition table: 0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 22003 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 45062325 | Size: 119240 Mo 2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 289267712 | Size: 335695 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: ST9500325AS +++++ --- User --- [MBR] 75b990b5013ef6cf2c907f705fd86a12 [BSP] 8e2ccfdddeecdd8f0ccd1b6ce07bff6c : Windows 7 MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 238469 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 488386560 | Size: 238469 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Destrio5 · Answer

Bien, fais maintenant un examen rapide avec Malwarebytes' Anti-Malware et poste le rapport.

nanardu78 · Answer

Voilà le rapport après un examen rapide de Malewarebytes :

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.10.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Ehoarn :: EHOARN-PC [administrateur]

10/06/2012 21:52:12
mbam-log-2012-06-10 (21-55-48).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 223604
Temps écoulé: 3 minute(s), 8 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 4
HKCU\SOFTWARE\Policies\Microsoft\Internet Explorer\control panel|HomePage (PUM.Hijack.HomePageControl) -> Mauvais: (1) Bon: (0) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Aucune action effectuée.

Dossier(s) détecté(s): 6
C:\ProgramData\2ACA5CC3-0F83-453D-A079-1076FE1A8B65 (Adware.Seekmo) -> Aucune action effectuée.
C:\Program Files (x86)\RelevantKnowledge (PUP.Spyware.MarketScore) -> Aucune action effectuée.
C:\Program Files (x86)\RelevantKnowledge\components (PUP.Spyware.MarketScore) -> Aucune action effectuée.
C:\Program Files (x86)\BrightBreeze\bin (Adware.HotBar.BB) -> Aucune action effectuée.
C:\Program Files (x86)\BrightBreeze\bin\2.0.5.0 (Adware.HotBar.BB) -> Aucune action effectuée.
C:\ProgramData\BrightBreezeSA (Adware.HotBar.BB) -> Aucune action effectuée.

Fichier(s) détecté(s): 8
C:\Users\Ehoarn\AppData\Roaming\cacaoweb\cacaoweb.exe (Trojan.Agent) -> Aucune action effectuée.
C:\Users\Ehoarn\Desktop\cacaoweb.exe (Trojan.Agent) -> Aucune action effectuée.
C:\Windows\System32\AUTOICLI.DLL.VIR (Trojan.Vundo) -> Aucune action effectuée.
C:\Windows\SysWOW64\AUTOICLI.DLL.VIR (Trojan.Vundo) -> Aucune action effectuée.
C:\Program Files (x86)\BrightBreeze\bin\2.0.5.0\copyright.txt (Adware.HotBar.BB) -> Aucune action effectuée.
C:\ProgramData\BrightBreezeSA\BrightBreezeSA.dat (Adware.HotBar.BB) -> Aucune action effectuée.
C:\ProgramData\BrightBreezeSA\BrightBreezeSAau.dat (Adware.HotBar.BB) -> Aucune action effectuée.
C:\ProgramData\BrightBreezeSA\BrightBreezeSA_kyf.dat (Adware.HotBar.BB) -> Aucune action effectuée.

(fin)

Destrio5 · Answer

Sélectionne "Supprimer la sélection" et redémarre ton PC si demandé.

Ton PC fonctionne correctement ?

nanardu78 · Answer

Ca m'a ouvert un nouveau rapport donc je le ferme et...

nanardu78 · Answer

Je dis oui au redémarrage du pc et....

nanardu78 · Answer

Ca semble marcher normalement. J'ai maintenant un fichier RK_Quarantine et des rapports. Fautil que je fasse d'autres scan ? Et que me conseillez vous pour la suite et pour éviter un maximum ce genre de problême ?

juju666 · Answer

Hello,

Je serais d'avis pour passer le combofix comme proposé ICI par destrio5 car sirefef n'est pas le truc qui se laisse faire facilement.

nanardu78 · Answer

Ok, merci beaucoup mais j'attends peut etre la confirmation de distrio 5 non ?
Non pas que je ne te fasse pas confiance mais c'est distiro 5 qui m'expliquait la marche à suivre alors je veux etre sur que vous soyez d'accord... Sinon si tu pense que c'est ce qu'il faut faire alors je vais suivre ta suggestion.

Merci en tout cas.

Destrio5 · Answer

Je t'aurais bien dit de passer ComboFix mais je me méfie de cet outil.

nanardu78 · Answer

Adjuger pour combofix ?

nanardu78 · Answer

Bon moi aussi j'ai des révisions en plus mais je voulais pas laisser trainer ça... heureusement que je commence vachement tard demain.

Le rapport arrive...

nanardu78 · Answer

Ah ouais pas cool... non moi c'est moins de stress c'est entrainement à l'oral de français...

Bon je trouve pas le rapport meme en cherchant %System%...........

Merci de ton aide

juju666 · Answer

il a déjà fini ? oO

normalement le rapport est à C:\ComboFix.txt

Destrio5 · Answer

Il n'est pas à la racine du disque dur C ?

nanardu78 · Answer

J'ai un fichier combofix mais quand je double clic dessus ça me renvoit à ordinateur ou s'affiche mes quatre disques durs (j'en ai quatre, c'est mon pc portable qui est comme ça). J'ai aussi deux trucs je sais pas ce que c'est : un fichier qoobox et bootsqm.dat

nanardu78 · Answer

Je dois peut etre recommencer une analyse ? J'ai peut etre fais une fausse manip non ?

juju666 · Answer

bah je sais pas; il a dit que le scan été terminé et qu'il élaborait son rapport ?

nanardu78 · Answer

Non en fait il a rien dis une fois finit alors je recommence

nanardu78 · Answer

Ouf j'ai eu peur. Heureusement quej'ai pensé à redémarrer l'ordi parce que il voulait rien me lancer après le scan. Bon voilà le fameux rapport si t'es pas encore couché, ce que j'aurais déjà fais dans ton cas :)





ComboFix 12-06-10.01 - Ehoarn 10/06/2012  23:05:10.1.4 - x64
Microsoft Windows 7 Édition Familiale Premium   6.1.7601.1.1252.33.1036.18.3884.2128 [GMT 2:00]
Lancé depuis: c:\users\Ehoarn\Downloads\ComboFix.exe
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\esupport\eDriver\Software\ASUS\MultiFrame\XP32_Vista32_Vista64_Win7_32_Win7_64_1.0.0021\Desktop_.ini
c:\program files (x86)\RelevantKnowledge
c:\programdata\FullRemove.exe
c:\users\Ehoarn\AppData\Local\Megamedia\Megakey\MegakeyUpdater.exe
c:\users\Ehoarn\AppData\Roaming\cacaoweb
c:\users\Ehoarn\AppData\Roaming\cacaoweb
pdfile.dat
c:\users\Ehoarn\AppData\Roaming\cacaowebeplicating25D365A5293593584ED1636DB3EE8DAD.cacao
c:\users\Ehoarn\AppData\Roaming\cacaowebeplicating40FA0F8A0EA1D39A7163B98283DF82EC.cacao
c:\users\Ehoarn\AppData\Roaming\cacaowebeplicating6305CE187C5E3F84564DE358CB6A1127.cacao
c:\users\Ehoarn\AppData\Roaming\cacaowebeplicating7E54B6665C51E8803453D18EF4DEDE45.cacao
c:\users\Ehoarn\AppData\Roaming\cacaowebeplicatingBE52440FD325E2EAFACC136ABD33A69B.cacao
c:\users\Ehoarn\AppData\Roaming\cacaowebeplicatingD4EE3D9EB38035DB9711BA3E5E3068CF.cacao
c:\users\Ehoarn\AppData\Roaming\cacaowebeplicatingE4F5FE957EFC0072032E35564E008A2A.cacao
c:\users\Ehoarn\AppData\Roaming\cacaoweb\storage.db
.
-- Exécution préalable --
.
Infected copy of c:\windows\system32\services.exe was found and disinfected 
Restored copy from - c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe 
.
--------
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-05-10 au 2012-06-10  ))))))))))))))))))))))))))))))))))))
.
.
2012-06-10 21:15 . 2012-06-10 21:15	--------	d-----w-	c:\users\UpdatusUser\AppData\Local	emp
2012-06-10 21:15 . 2012-06-10 21:15	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-06-10 19:51 . 2012-06-10 19:51	--------	d-----w-	c:\users\Ehoarn\AppData\Roaming\Malwarebytes
2012-06-10 19:50 . 2012-06-10 19:50	--------	d-----w-	c:\programdata\Malwarebytes
2012-06-10 19:50 . 2012-06-10 19:50	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-06-10 19:50 . 2012-04-04 13:56	24904	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-06-10 18:30 . 2012-06-10 18:30	--------	d-----w-	C:\found.001
2012-06-09 07:48 . 2012-06-09 07:48	--------	d-sh--w-	c:\windows\system32\%APPDATA%
2012-06-09 07:44 . 2012-06-09 07:44	62976	---ha-w-	c:\windows\system32\autoicli64.dll
2012-06-09 07:44 . 2012-06-09 08:30	--------	d-----w-	c:\programdata\B7E8588600040D91001FB951B4EB2367
2012-06-02 15:22 . 2012-06-02 15:22	--------	d-----w-	c:\programdata\Babylon
2012-05-31 15:41 . 2012-05-31 15:41	--------	d-----w-	C:\Kreapixel
2012-05-31 14:15 . 2012-05-31 14:15	--------	d-----w-	C:\found.000
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-10 21:18 . 2011-03-12 16:22	45056	----a-w-	c:\windows\system32\acovcnt.exe
2012-05-12 14:10 . 2011-08-06 14:18	280976	----a-w-	c:\windows\SysWow64\PnkBstrB.exe
2012-05-12 14:10 . 2011-08-06 08:58	280976	----a-w-	c:\windows\SysWow64\PnkBstrB.xtr
2012-05-07 00:19 . 2012-04-07 11:30	419488	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-05-07 00:19 . 2011-05-25 09:43	70304	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-05-05 20:21 . 2012-04-07 12:30	8744608	----a-w-	c:\windows\SysWow64\FlashPlayerInstaller.exe
2012-03-31 06:05 . 2012-05-11 19:16	5559664	----a-w-	c:\windows\system32
toskrnl.exe
2012-03-31 04:39 . 2012-05-11 19:16	3968368	----a-w-	c:\windows\SysWow64
tkrnlpa.exe
2012-03-31 04:39 . 2012-05-11 19:16	3913072	----a-w-	c:\windows\SysWow64
toskrnl.exe
2012-03-31 03:10 . 2012-05-11 19:16	3146240	----a-w-	c:\windows\system32\win32k.sys
2012-03-30 21:30 . 2012-03-30 21:30	0	------w-	c:\windows\SysWow64\shoB227.tmp
2012-03-30 11:35 . 2012-05-11 19:14	1918320	----a-w-	c:\windows\system32\drivers	cpip.sys
2012-03-22 21:37 . 2012-03-22 21:37	0	------w-	c:\windows\SysWow64\sho58D0.tmp
2012-03-17 07:58 . 2012-05-11 19:15	75120	----a-w-	c:\windows\system32\drivers\partmgr.sys
2011-11-17 06:41	27136	--sh--w-	c:\windows\Installer\{9c5dea40-a09e-25a7-bbb2-65ebfe124d37}
.vir
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1475584]
"Steam"="d:\jeux\Steam\Steam.exe" [2011-12-25 1242448]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"ATKOSD2"="c:\program files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe" [2010-06-25 6806144]
"ATKMEDIA"="c:\program files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe" [2010-05-03 170624]
"HControlUser"="c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe" [2009-06-19 105016]
"SonicMasterTray"="c:\program files (x86)\ASUS\SonicMaster\SonicMasterTray.exe" [2010-07-10 984400]
"Wireless Console 3"="c:\program files (x86)\ASUS\Wireless Console 3\wcourier.exe" [2010-04-26 1597440]
"UpdatePSTShortCut"="c:\program files (x86)\Cyberlink\DVD Suite\MUITransfer\MUIStartMenu.exe" [2010-06-24 210216]
"VAWinAgent"="c:\expressgateutil\VAWinAgent.exe" [2010-08-13 21504]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"RemoteControl11"="c:\program files (x86)\CyberLink\PowerDVD11\PDVD11Serv.exe" [2011-08-24 230696]
"amd_dc_opt"="c:\program files (x86)\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2010-3-12 1083680]
FancyStart daemon.lnk - c:\windows\Installer\{2B81872B-A054-48DA-BE3B-FA5C164C303A}\_C4A2FC3E3722966204FDD8.exe [2010-12-3 12862]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\SysWOW64
vinit.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
R2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2010/12/03 10:17];c:\program files (x86)\Cyberlink\PowerDVD9\000.fcl [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [x]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-07 257696]
R3 AmUStor;AM USB Stroage Driver;c:\windows\system32\drivers\AmUStor.SYS [x]
R3 driverhardwarev2x64;driverhardwarev2x64;c:\program files\ma-config.com\Drivers\driverhardwarev2x64.sys [2011-07-02 16640]
R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [x]
R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\x64\maconfservice.exe [2011-07-09 421376]
R3 MyWiFiDHCPDNS;Wireless PAN DHCP Server;c:\program files\Intel\WiFi\bin\PanDhcpDns.exe [2010-03-05 340240]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers
vhda64v.sys [x]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 SiSGbeLH;SiS191/SiS190 Ethernet Device NDIS 6.0 Driver;c:\windows\system32\DRIVERS\SiSG664.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys [x]
R3 TurboBoost;TurboBoost;c:\program files\Intel\TurboBoost\TurboBoost.exe [2009-08-06 118672]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-23 57184]
S0 nvpciflt;nvpciflt;c:\windows\system32\DRIVERS
vpciflt.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 {329F96B6-DF1E-4328-BFDA-39EA953C1312};Power Control [2011/12/11 16:42];c:\program files (x86)\CyberLink\PowerDVD11\Common\NavFilter\000.fcl [2011-09-02 11:08 148976]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
S2 AFBAgent;AFBAgent;c:\windows\system32\FBAgent.exe [x]
S2 CLHNServiceForPowerDVD;CLHNServiceForPowerDVD;c:\program files (x86)\CyberLink\PowerDVD11\Kernel\DMP\CLHNServiceForPowerDVD.exe [2011-08-24 83240]
S2 cvhsvc;Client Virtualization Handler;c:\program files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2012-01-04 822624]
S2 CyberLink PowerDVD 11.0 Monitor Service;CyberLink PowerDVD 11.0 Monitor Service;c:\program files (x86)\CyberLink\PowerDVD11\Common\MediaServer\CLMSMonitorService.exe [2011-09-02 75048]
S2 CyberLink PowerDVD 11.0 Service;CyberLink PowerDVD 11.0 Service;c:\program files (x86)\CyberLink\PowerDVD11\Common\MediaServer\CLMSServerForPDVD11.exe [2011-09-02 292136]
S2 ntk_PowerDVD;ntk_PowerDVD;c:\program files (x86)\CyberLink\PowerDVD11\Kernel\DMP
tk_PowerDVD_64.sys [2011-08-24 75248]
S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-05-21 2214504]
S2 sftlist;Application Virtualization Client;c:\program files (x86)\Microsoft Application Virtualization Client\sftlist.exe [2011-10-01 508776]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision
vSCPAPISvr.exe [2011-05-20 378472]
S2 TurboB;Turbo Boost UI Monitor driver;c:\windows\system32\DRIVERS\TurboB.sys [x]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-10-01 2314240]
S2 VideAceWindowsService;VideAceWindowsService;c:\expressgateutil\VAWinService.exe [2010-08-21 77312]
S3 btusbflt;Bluetooth USB Filter;c:\windows\system32\drivers\btusbflt.sys [x]
S3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [x]
S3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\DRIVERS\ETD.sys [x]
S3 FLxHCIc;Fresco Logic xHCI (USB3) Device Driver;c:\windows\system32\DRIVERS\FLxHCIc.sys [x]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [x]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x64.sys [x]
S3 NETw5s64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows 7 - 64 Bit;c:\windows\system32\DRIVERS\NETw5s64.sys [x]
S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [x]
S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [x]
S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [x]
S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [x]
S3 sftvsa;Application Virtualization Service Agent;c:\program files (x86)\Microsoft Application Virtualization Client\sftvsa.exe [2011-10-01 219496]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [x]
S3 wdkmd;Intel WiDi KMD;c:\windows\system32\DRIVERS\WDKMD.sys [x]
.
.
Contenu du dossier 'Tâches planifiées'
.
2012-06-10 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-07 00:19]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_B]
@="{6D4133E5-0742-4ADC-8A8C-9303440F7190}"
[HKEY_CLASSES_ROOT\CLSID\{6D4133E5-0742-4ADC-8A8C-9303440F7190}]
2009-11-26 05:49	70656	----a-w-	c:\program files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSShellExt64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_O]
@="{64174815-8D98-4CE6-8646-4C039977D808}"
[HKEY_CLASSES_ROOT\CLSID\{64174815-8D98-4CE6-8646-4C039977D808}]
2009-11-26 05:49	70656	----a-w-	c:\program files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSShellExt64.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASUS WebStorage"="c:\program files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe" [2010-03-16 1754448]
"AmIcoSinglun64"="c:\program files (x86)\AmIcoSingLun\AmIcoSinglun64.exe" [2010-05-03 324096]
"RtHDVBg"="c:\program files\Realtek\Audio\HDA\RAVBg64.exe" [2010-08-17 2120808]
"IntelWireless"="c:\program files\Common Files\Intel\WirelessCommon\iFrmewrk.exe" [2010-03-05 1928976]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-04-10 167256]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-04-10 391512]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-04-10 415064]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x1
"AppInit_DLLs"=c:\windows\System32
vinitx.dll
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://search.babylon.com/?affID=111020&babsrc=HP_ss&mntrId=c694ede10000000000000026c7b0e60b
mStart Page = hxxp://asus.msn.com
mLocal Page = c:\windows\SysWOW64\blank.htm
Trusted Zone: clonewarsadventures.com
Trusted Zone: freerealms.com
Trusted Zone: soe.com
Trusted Zone: sony.com
TCP: DhcpNameServer = 192.168.0.254
FF - ProfilePath - c:\users\Ehoarn\AppData\Roaming\Mozilla\Firefox\Profiles\gaq7xxg5.default\
FF - prefs.js: browser.search.defaulturl - 
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://portail.free.fr/
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=111020
FF - user.js: extensions.BabylonToolbar_i.babExt - 
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
FF - user.js: extensions.BabylonToolbar_i.id - c694ede10000000000000026c7b0e60b
FF - user.js: extensions.BabylonToolbar_i.hardId - c694ede10000000000000026c7b0e60b
FF - user.js: extensions.BabylonToolbar_i.instlDay - 15447
FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1723:05
FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar_i.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar_i.tlbrId - base
FF - user.js: extensions.BabylonToolbar_i.instlRef - sst
.
- - - - ORPHELINS SUPPRIMES - - - -
.
BHO-{77F4E711-789B-447F-9614-96759B2F83C6} - c:\users\Ehoarn\AppData\Local\Megamedia\Megakey\MegaIeHelper.dll
Toolbar-Locked - (no file)
Toolbar-{09B445AE-2345-4FCA-85AE-FB3626ECEBDD} - (no file)
Toolbar-10 - (no file)
Wow6432Node-HKCU-Run-MegakeyUpdater - c:\users\Ehoarn\AppData\Local\Megamedia\Megakey\MegakeyUpdater.exe
Wow6432Node-HKCU-Run-SDATimer - (no file)
Wow6432Node-HKLM-Run-BDRegion - c:\program files (x86)\Cyberlink\Shared files\brs.exe
BHO-{77F4E711-789B-447F-9614-96759B2F83C6} - c:\users\Ehoarn\AppData\Local\Megamedia\Megakey\x64\MegaIeHelper64.dll
Toolbar-Locked - (no file)
Toolbar-10 - (no file)
HKLM-Run-ETDWare - c:\program files (x86)\Elantech\ETDCtrl.exe
AddRemove-BabylonToolbar - c:\program files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\uninstall.exe
AddRemove-Google Chrome - c:\program files (x86)\Google\Chrome\Application\18.0.1025.168\Installer\setup.exe
AddRemove-PunkBusterSvc - c:\windows\system32\pbsvc.exe
AddRemove-{09FF4DB8-7DE9-4D47-B7DB-915DB7D9A8CA} - c:\programdata\{83C3B2FD-37EA-4C06-A228-E9B5E32FF0B1}\bm_installer.exe
AddRemove-PhotoFiltre - c:\program files (x86)\PhotoFiltre\Uninst.exe
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\{329F96B6-DF1E-4328-BFDA-39EA953C1312}]
"ImagePath"="\??\c:\program files (x86)\CyberLink\PowerDVD11\Common\NavFilter\000.fcl"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\{B154377D-700F-42cc-9474-23858FBDF4BD}]
"ImagePath"="\??\c:\program files (x86)\Cyberlink\PowerDVD9\000.fcl"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-1650379126-1646432353-3909254661-1001\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
"??"=hex:f0,1e,86,ef,f5,55,61,ca,e4,34,59,4c,cf,ec,3b,0b,0e,1c,da,b9,ee,28,ae,
   d9,22,ae,9b,26,a7,05,43,eb,82,0a,d8,4c,68,cb,29,d1,63,ad,a2,09,a5,dc,0b,b0,\
"??"=hex:f8,7a,de,66,62,a3,76,a9,b7,88,56,9e,5b,54,0e,64
.
[HKEY_USERS\S-1-5-21-1650379126-1646432353-3909254661-1001\Software\SecuROM\License information*]
"datasecu"=hex:5f,d9,f5,8b,76,25,3c,0a,ee,34,6b,5f,f0,0e,4f,06,8b,0b,71,61,a7,
   83,61,dc,37,25,45,2b,0d,8a,ac,20,be,75,26,c9,8f,8c,b4,4a,5f,87,27,ac,6a,ad,\
"rkeysecu"=hex:e9,2b,e1,3e,d7,6c,43,eb,94,25,7f,3e,ce,25,bf,04
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_2_202_235_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_2_202_235_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_2_202_235.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_2_202_235.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_2_202_235.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_2_202_235.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\ASLDRSrv.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\windows\SysWOW64\PnkBstrA.exe
c:\program files (x86)\ASUS\SmartLogon\sensorsrv.exe
c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\HControl.exe
c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\ATKOSD.exe
c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\WDC.exe
c:\windows\AsScrPro.exe
.
**************************************************************************
.
Heure de fin: 2012-06-10  23:23:32 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-06-10 21:23
.
Avant-CF: 7 112 331 264 octets libres
Après-CF: 6 793 605 120 octets libres
.
- - End Of File - - 66C13BC7A976DD3A64555D74907BE669


C'est un peu indigeste comme truc (enfin pour moi en tout cas).

Destrio5 · Answer

"Infected copy of c:\windows\system32\services.exe was found and disinfected
Restored copy from - c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe"

--> L'utilisation de ComboFix était justifiée.

Je vois des traces de Babylon :

--> Télécharge et lance AdwCleaner (de Xplode), choisis l'option "Suppression" et poste le rapport :
http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner

nanardu78 · Answer

Le rapport avant suppression :

# AdwCleaner v1.609 - Rapport créé le 10/06/2012 à 23:43:20
# Mis à jour le 10/06/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Ehoarn - EHOARN-PC
# Exécuté depuis : C:\Users\Ehoarn\Downloads\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Users\Ehoarn\AppData\Local\Babylon
Dossier Présent : C:\Users\Ehoarn\AppData\Local\Google\Chrome\User Data\Default\Extensions\bkomkajifikmkfnjgphkjcfeepbnojok
Dossier Présent : C:\Users\Ehoarn\AppData\Local\Ilivid Player
Dossier Présent : C:\Users\Ehoarn\AppData\LocalLow\facemoods.com
Dossier Présent : C:\Users\Ehoarn\AppData\LocalLow\searchquband
Dossier Présent : C:\Users\Ehoarn\AppData\Roaming\Nosibay
Dossier Présent : C:\Users\Ehoarn\AppData\Roaming\Mozilla\Firefox\Profiles\gaq7xxg5.default\extensions\cacaoweb@cacaoweb.org
Dossier Présent : C:\ProgramData\Babylon
Dossier Présent : C:\ProgramData\boost_interprocess
Dossier Présent : C:\ProgramData\Tarma Installer
Dossier Présent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PriceGong
Dossier Présent : C:\Program Files (x86)\BrightBreeze
Dossier Présent : C:\Program Files (x86)\PriceGong
Fichier Présent : C:\Users\Ehoarn\AppData\Roaming\Mozilla\Firefox\Profiles\gaq7xxg5.default\searchplugins\Search_Results.xml
Fichier Présent : C:\Users\Ehoarn\AppData\Roaming\Mozilla\Firefox\Profiles\gaq7xxg5.default\searchplugins\SweetIm.xml
Fichier Présent : C:\Users\Ehoarn\AppData\Roaming\Mozilla\Firefox\Profiles\gaq7xxg5.default\searchplugins\SweetIM Search.xml
Fichier Présent : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml
Fichier Présent : C:\Program Files (x86)\Mozilla FireFox\searchplugins\Search_Results.xml

***** [Registre] *****

Clé Présente : HKCU\Software\BabylonToolbar
Clé Présente : HKCU\Software\cacaoweb
Clé Présente : HKCU\Software\Softonic
Clé Présente : HKCU\Software\SweetIm
Clé Présente : HKCU\Software\AppDataLow\Software\PriceGong
Clé Présente : HKCU\Software\AppDataLow\Software\searchqutoolbar
Clé Présente : HKLM\SOFTWARE\Babylon
Clé Présente : HKLM\SOFTWARE\BabylonToolbar
Clé Présente : HKLM\SOFTWARE\SweetIM
Clé Présente : HKLM\SOFTWARE\Classes\b
Clé Présente : HKLM\SOFTWARE\Classes\Babylon.dskBnd
Clé Présente : HKLM\SOFTWARE\Classes\Babylon.dskBnd.1
Clé Présente : HKLM\SOFTWARE\Classes\bbylnApp.appCore
Clé Présente : HKLM\SOFTWARE\Classes\bbylnApp.appCore.1
Clé Présente : HKLM\SOFTWARE\Classes\escort.escrtBtn.1
Clé Présente : HKLM\SOFTWARE\Classes\escort.escortIEPane
Clé Présente : HKLM\SOFTWARE\Classes\escort.escortIEPane.1
Clé Présente : HKLM\SOFTWARE\Classes\esrv.BabylonESrvc
Clé Présente : HKLM\SOFTWARE\Classes\esrv.BabylonESrvc.1
Clé Présente : HKLM\SOFTWARE\Classes\facemoods.facemoodsHlpr
Clé Présente : HKLM\SOFTWARE\Classes\facemoods.facemoodsHlpr.1
Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Api
Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Clé Présente : HKLM\SOFTWARE\Classes\AppID\PriceGongIE.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Clé Présente : HKLM\SOFTWARE\Google\Chrome\Extensions\bkomkajifikmkfnjgphkjcfeepbnojok
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASAPI32
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASMANCS
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASAPI32
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASMANCS
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BabylonToolbar
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PriceGong
[x64] Clé Présente : HKCU\Software\BabylonToolbar
[x64] Clé Présente : HKCU\Software\cacaoweb
[x64] Clé Présente : HKCU\Software\Softonic
[x64] Clé Présente : HKCU\Software\SweetIm
[x64] Clé Présente : HKCU\Software\AppDataLow\Software\PriceGong
[x64] Clé Présente : HKCU\Software\AppDataLow\Software\searchqutoolbar
[x64] Clé Présente : HKLM\SOFTWARE\Classes\b
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Babylon.dskBnd
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Babylon.dskBnd.1
[x64] Clé Présente : HKLM\SOFTWARE\Classes\bbylnApp.appCore
[x64] Clé Présente : HKLM\SOFTWARE\Classes\bbylnApp.appCore.1
[x64] Clé Présente : HKLM\SOFTWARE\Classes\escort.escrtBtn.1
[x64] Clé Présente : HKLM\SOFTWARE\Classes\escort.escortIEPane
[x64] Clé Présente : HKLM\SOFTWARE\Classes\escort.escortIEPane.1
[x64] Clé Présente : HKLM\SOFTWARE\Classes\esrv.BabylonESrvc
[x64] Clé Présente : HKLM\SOFTWARE\Classes\esrv.BabylonESrvc.1
[x64] Clé Présente : HKLM\SOFTWARE\Classes\facemoods.facemoodsHlpr
[x64] Clé Présente : HKLM\SOFTWARE\Classes\facemoods.facemoodsHlpr.1
[x64] Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Api
[x64] Clé Présente : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\escort.DLL
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\PriceGongIE.DLL
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
[x64] Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
[x64] Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}

***** [Registre - GUID] *****

Clé Présente : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{835315FC-1BF6-4CA9-80CD-F6C158D40692}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{291BCCC1-6890-484A-89D3-318C928DAC1B}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{7E84186E-B5DE-4226-8A66-6E49C6B511B4}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{B8276A94-891D-453C-9FF3-715C042A2575}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{FE9271F2-6EFD-44B0-A826-84C829536E93}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{FFB9ADCB-8C79-4C29-81D3-74D46A93D370}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{44C3C1DB-2127-433C-98EC-4C9412B5FC3A}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{4D5132DD-BB2B-4249-B5E0-D145A8C982E1}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{706D4A4B-184A-4434-B331-296B07493D2D}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{8BE10F21-185F-4CA0-B789-9921674C3993}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{94C0B25D-3359-4B10-B227-F96A77DB773F}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{B0B75FBA-7288-4FD3-A9EB-7EE27FA65599}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{B173667F-8395-4317-8DD6-45AD1FE00047}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{B32672B3-F656-46E0-B584-FE61C0BB6037}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{BFE569F7-646C-4512-969B-9BE3E580D393}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{C2434722-5C85-4CA0-BA69-1B67E7AB3D68}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{C2996524-2187-441F-A398-CD6CB6B3D020}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{E047E227-5342-4D94-80F7-CFB154BF55BD}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{E3F79BE9-24D4-4F4D-8C13-DF2C9899F82E}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{E77EEF95-3E83-4BB8-9C0D-4A5163774997}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{6E8BF012-2C85-4834-B10A-1B31AF173D70}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8375D9C8-634F-4ECB-8CF5-C7416BA5D542}
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC}
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{98889811-442D-49DD-99D7-DC866BE87DBC}]
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{835315FC-1BF6-4CA9-80CD-F6C158D40692}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{44C3C1DB-2127-433C-98EC-4C9412B5FC3A}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{4D5132DD-BB2B-4249-B5E0-D145A8C982E1}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{706D4A4B-184A-4434-B331-296B07493D2D}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{8BE10F21-185F-4CA0-B789-9921674C3993}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{94C0B25D-3359-4B10-B227-F96A77DB773F}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{B0B75FBA-7288-4FD3-A9EB-7EE27FA65599}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{B173667F-8395-4317-8DD6-45AD1FE00047}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{B32672B3-F656-46E0-B584-FE61C0BB6037}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{BFE569F7-646C-4512-969B-9BE3E580D393}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{C2434722-5C85-4CA0-BA69-1B67E7AB3D68}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{C2996524-2187-441F-A398-CD6CB6B3D020}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{E047E227-5342-4D94-80F7-CFB154BF55BD}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{E3F79BE9-24D4-4F4D-8C13-DF2C9899F82E}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{E77EEF95-3E83-4BB8-9C0D-4A5163774997}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{6E8BF012-2C85-4834-B10A-1B31AF173D70}
[x64] Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
[x64] Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
[x64] Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
[x64] Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
[x64] Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4A99-B4B6-146BF802613B}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
[x64] Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC}

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.babylon.com/?affID=111020&babsrc=HP_ss&mntrId=c694ede10000000000000026c7b0e60b
[HKU\S-1-5-21-1650379126-1646432353-3909254661-1001\Software\Policies\Microsoft\Internet Explorer\Main - Start Page] = hxxp://seeearch.com/

-\ Mozilla Firefox v10.0.2 (fr)

Nom du profil : default 
Fichier : C:\Users\Ehoarn\AppData\Roaming\Mozilla\Firefox\Profiles\gaq7xxg5.default\prefs.js

Présente : user_pref("browser.search.defaultenginename", "Search Results");
Présente : user_pref("browser.search.order.1", "Search Results");
Présente : user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
Présente : user_pref("extensions.BabylonToolbar_i.babExt", "");
Présente : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=111020");
Présente : user_pref("extensions.BabylonToolbar_i.hardId", "c694ede10000000000000026c7b0e60b");
Présente : user_pref("extensions.BabylonToolbar_i.id", "c694ede10000000000000026c7b0e60b");
Présente : user_pref("extensions.BabylonToolbar_i.instlDay", "15447");
Présente : user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
Présente : user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
Présente : user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
Présente : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Présente : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
Présente : user_pref("extensions.BabylonToolbar_i.tlbrId", "base");
Présente : user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
Présente : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1723:05:54");
Présente : user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
Présente : user_pref("extensions.facemoods.aflt", "_#w7th");
Présente : user_pref("extensions.facemoods.firstRun", false);
Présente : user_pref("extensions.facemoods.lastActv", "19");

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Ehoarn\AppData\Local\Google\Chrome\User Data\Default\Preferences

Présente :                "update_url": "hxxp://inst.pricegong.com/update/sweetim/-/update.xml",

*************************

AdwCleaner[R1].txt - [17791 octets] - [10/06/2012 23:43:20]

########## EOF - C:\AdwCleaner[R1].txt - [17920 octets] ##########

nanardu78 · Answer

Et le nouveau rapport après suppression :

# AdwCleaner v1.609 - Rapport créé le 10/06/2012 à 23:49:26
# Mis à jour le 10/06/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Ehoarn - EHOARN-PC
# Exécuté depuis : C:\Users\Ehoarn\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Ehoarn\AppData\Local\Babylon
Dossier Supprimé : C:\Users\Ehoarn\AppData\Local\Google\Chrome\User Data\Default\Extensions\bkomkajifikmkfnjgphkjcfeepbnojok
Dossier Supprimé : C:\Users\Ehoarn\AppData\Local\Ilivid Player
Dossier Supprimé : C:\Users\Ehoarn\AppData\LocalLow\facemoods.com
Dossier Supprimé : C:\Users\Ehoarn\AppData\LocalLow\searchquband
Dossier Supprimé : C:\Users\Ehoarn\AppData\Roaming\Nosibay
Dossier Supprimé : C:\Users\Ehoarn\AppData\Roaming\Mozilla\Firefox\Profiles\gaq7xxg5.default\extensions\cacaoweb@cacaoweb.org
Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\boost_interprocess
Dossier Supprimé : C:\ProgramData\Tarma Installer
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PriceGong
Dossier Supprimé : C:\Program Files (x86)\BrightBreeze
Dossier Supprimé : C:\Program Files (x86)\PriceGong
Fichier Supprimé : C:\Users\Ehoarn\AppData\Roaming\Mozilla\Firefox\Profiles\gaq7xxg5.default\searchplugins\Search_Results.xml
Fichier Supprimé : C:\Users\Ehoarn\AppData\Roaming\Mozilla\Firefox\Profiles\gaq7xxg5.default\searchplugins\SweetIm.xml
Fichier Supprimé : C:\Users\Ehoarn\AppData\Roaming\Mozilla\Firefox\Profiles\gaq7xxg5.default\searchplugins\SweetIM Search.xml
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml
Fichier Supprimé : C:\Program Files (x86)\Mozilla FireFox\searchplugins\Search_Results.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\BabylonToolbar
Clé Supprimée : HKCU\Software\cacaoweb
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\SweetIm
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKCU\Software\AppDataLow\Software\searchqutoolbar
Clé Supprimée : HKLM\SOFTWARE\Babylon
Clé Supprimée : HKLM\SOFTWARE\BabylonToolbar
Clé Supprimée : HKLM\SOFTWARE\SweetIM
Clé Supprimée : HKLM\SOFTWARE\Classes\b
Clé Supprimée : HKLM\SOFTWARE\Classes\Babylon.dskBnd
Clé Supprimée : HKLM\SOFTWARE\Classes\Babylon.dskBnd.1
Clé Supprimée : HKLM\SOFTWARE\Classes\bbylnApp.appCore
Clé Supprimée : HKLM\SOFTWARE\Classes\bbylnApp.appCore.1
Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escrtBtn.1
Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escortIEPane
Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escortIEPane.1
Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.BabylonESrvc
Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.BabylonESrvc.1
Clé Supprimée : HKLM\SOFTWARE\Classes\facemoods.facemoodsHlpr
Clé Supprimée : HKLM\SOFTWARE\Classes\facemoods.facemoodsHlpr.1
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\PriceGongIE.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\bkomkajifikmkfnjgphkjcfeepbnojok
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BabylonToolbar
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PriceGong
[x64] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{835315FC-1BF6-4CA9-80CD-F6C158D40692}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{291BCCC1-6890-484A-89D3-318C928DAC1B}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{7E84186E-B5DE-4226-8A66-6E49C6B511B4}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{B8276A94-891D-453C-9FF3-715C042A2575}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FE9271F2-6EFD-44B0-A826-84C829536E93}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FFB9ADCB-8C79-4C29-81D3-74D46A93D370}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{44C3C1DB-2127-433C-98EC-4C9412B5FC3A}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4D5132DD-BB2B-4249-B5E0-D145A8C982E1}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{706D4A4B-184A-4434-B331-296B07493D2D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8BE10F21-185F-4CA0-B789-9921674C3993}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{94C0B25D-3359-4B10-B227-F96A77DB773F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B0B75FBA-7288-4FD3-A9EB-7EE27FA65599}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B173667F-8395-4317-8DD6-45AD1FE00047}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B32672B3-F656-46E0-B584-FE61C0BB6037}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{BFE569F7-646C-4512-969B-9BE3E580D393}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2434722-5C85-4CA0-BA69-1B67E7AB3D68}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2996524-2187-441F-A398-CD6CB6B3D020}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E047E227-5342-4D94-80F7-CFB154BF55BD}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E3F79BE9-24D4-4F4D-8C13-DF2C9899F82E}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E77EEF95-3E83-4BB8-9C0D-4A5163774997}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{6E8BF012-2C85-4834-B10A-1B31AF173D70}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8375D9C8-634F-4ECB-8CF5-C7416BA5D542}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{98889811-442D-49DD-99D7-DC866BE87DBC}]
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{44C3C1DB-2127-433C-98EC-4C9412B5FC3A}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4D5132DD-BB2B-4249-B5E0-D145A8C982E1}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{706D4A4B-184A-4434-B331-296B07493D2D}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8BE10F21-185F-4CA0-B789-9921674C3993}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{94C0B25D-3359-4B10-B227-F96A77DB773F}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B0B75FBA-7288-4FD3-A9EB-7EE27FA65599}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B173667F-8395-4317-8DD6-45AD1FE00047}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B32672B3-F656-46E0-B584-FE61C0BB6037}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{BFE569F7-646C-4512-969B-9BE3E580D393}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2434722-5C85-4CA0-BA69-1B67E7AB3D68}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2996524-2187-441F-A398-CD6CB6B3D020}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E047E227-5342-4D94-80F7-CFB154BF55BD}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E3F79BE9-24D4-4F4D-8C13-DF2C9899F82E}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E77EEF95-3E83-4BB8-9C0D-4A5163774997}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
[x64] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.babylon.com/?affID=111020&babsrc=HP_ss&mntrId=c694ede10000000000000026c7b0e60b --> hxxp://www.google.com
Remplacé : [HKU\S-1-5-21-1650379126-1646432353-3909254661-1001\Software\Policies\Microsoft\Internet Explorer\Main - Start Page] = hxxp://seeearch.com/ --> hxxp://www.google.com

-\ Mozilla Firefox v10.0.2 (fr)

Nom du profil : default 
Fichier : C:\Users\Ehoarn\AppData\Roaming\Mozilla\Firefox\Profiles\gaq7xxg5.default\prefs.js

C:\Users\Ehoarn\AppData\Roaming\Mozilla\Firefox\Profiles\gaq7xxg5.default\user.js ... Supprimé !

Supprimée : user_pref("browser.search.defaultenginename", "Search Results");
Supprimée : user_pref("browser.search.order.1", "Search Results");
Supprimée : user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
Supprimée : user_pref("extensions.BabylonToolbar_i.babExt", "");
Supprimée : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=111020");
Supprimée : user_pref("extensions.BabylonToolbar_i.hardId", "c694ede10000000000000026c7b0e60b");
Supprimée : user_pref("extensions.BabylonToolbar_i.id", "c694ede10000000000000026c7b0e60b");
Supprimée : user_pref("extensions.BabylonToolbar_i.instlDay", "15447");
Supprimée : user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
Supprimée : user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
Supprimée : user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
Supprimée : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Supprimée : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
Supprimée : user_pref("extensions.BabylonToolbar_i.tlbrId", "base");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1723:05:54");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
Supprimée : user_pref("extensions.facemoods.aflt", "_#w7th");
Supprimée : user_pref("extensions.facemoods.firstRun", false);
Supprimée : user_pref("extensions.facemoods.lastActv", "19");

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Ehoarn\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée :                "update_url": "hxxp://inst.pricegong.com/update/sweetim/-/update.xml",

*************************

AdwCleaner[R1].txt - [17782 octets] - [10/06/2012 23:43:20]
AdwCleaner[S1].txt - [305 octets] - [10/06/2012 23:48:48]
AdwCleaner[R2].txt - [17902 octets] - [10/06/2012 23:49:07]
AdwCleaner[S2].txt - [14228 octets] - [10/06/2012 23:49:26]

########## EOF - C:\AdwCleaner[S2].txt - [14357 octets] ##########

nanardu78 · Answer

Bon je crois que je vous ai assez fatigué pour aujourd'hui alors à demain. Je reste un peu encore au cas ou il y ait des insomniaques dans le coin.

Destrio5 · Answer

On arrive à la fin.

Ton PC était bien infecté.

Ne t'inquiète pas pour tous les outils de désinfection que l'on te fait utiliser, il y a un petit outil nommé DelFix qui les shoote en une seule fois.

--> Relance AdwCleaner et choisis "Désinstaller".

--> Télécharge ZHPDiag (de Nicolas Coolman).

--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (N'oublie pas de cocher "Créer une icône sur le Bureau").

--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de  ZHPDiag et choisir Exécuter en tant qu'administrateur)

--> Clique sur la loupe (Lancer le diagnostic) puis laisse l'outil scanner.

--> Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier (le rapport de l'analyse) sur ton Bureau. 

--> Pour me transmettre le rapport, utilise le site http://pjjoint.malekal.com/ car le rapport ZHPDiag est plutôt long. Copie-colle le lien donné par le site ici.

nanardu78 · Answer

Il n'y a pas d'icone de loupe. Juste pleins d'icones mais pas de loupe ni de lancer le diagnostic. J'ai un : Nettoyeur de tools
                                   Windows Clean Manager

Merci

nanardu78 · Answer

Ah autant pour moi je n'ai pas lancé le bon logiciel.

nanardu78 · Answer

Voilà le lien que l'on me donne :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120611_b12h15h6s12p11

Destrio5 · Answer

Le rapport n'est pas complet.

Rappel :

"(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPDiag et choisir Exécuter en tant qu'administrateur)"

On peut continuer demain si tu veux.

nanardu78 · Answer

Comme tu veux moi je peux rester encore un peu mais si tu en a marre depuis le temps que tu m'aides on peut arrêter.

Bon au cas où le nouveau rapport :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120611_13l15k10i9v14

Merci

nanardu78 · Answer

Je pense que tu as du partir alors si c'est le bonne nuit et merci beaucoup pour ton aide et on finira ça demain soir. Je serai dispo à 16 ou 17 h

Destrio5 · Answer

J'ai rien de prévu demain.

--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


SysRestore
M3 - MFPP: Plugins - [Ehoarn] -- C:\Program Files (x86)\Mozilla FireFox\searchplugins\fcmdSrchw7th.xml   
O42 - Logiciel: WebPlayerV2 - (.Kreapixel.) [HKLM] -- {77236F9C-987C-40EC-832B-5BD6181E4846}      
O43 - CFD: 19/05/2011 - 19:56:31 - [0,183] ----D C:\Program Files (x86)\Yontoo Layers Client    
O43 - CFD: 17/04/2012 - 23:24:52 - [0,039] ----D C:\Users\Ehoarn\AppData\Roaming\WebPlayerBdd  
O44 - LFC:[MD5.CDE6ACA8CE75C23E287B04F634CB652A] - 09/06/2012 - 08:44:33  . (...) -- C:\Windows\System32\autoicli64.dll   []]      
O44 - LFC:[MD5.CDE6ACA8CE75C23E287B04F634CB652A] - 09/06/2012 - 08:44:33 --HA- . (.ESET - NOD32.) -- C:\Windows\SysNative\autoicli64.dll   [62976
O2 - BHO: MegaIeHelperBHO [64Bits] - {77F4E711-789B-447F-9614-96759B2F83C6} . (...) -- C:\Users\Ehoarn\AppData\Local\Megamedia\Megakey\MegaIeHelper.dll (.not file.)  
O2 - BHO: Google Dictionary Compression sdch [64Bits] - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} Clé orpheline     
[MD5.00000000000000000000000000000000] [APT] [RunAsStdUser Task] (...) -- C:\Program Files (x86)\BrightBreeze\bin\2.0.5.0\BrightBreezeSA.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [Tomb Raider - Anniversary] (...) -- D:\Jeux\Eidos\Tomb Raider Anniversary\Tomb Raider - Anniversary\TRA.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{096A832F-57BC-4E4B-8601-277BFD444137}] (...) -- C:\Users\Ehoarn\Downloads\Install_WL_1.2.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{132DA4EB-AAA7-4556-A257-C927C45B3C54}] (...) -- D:\Jeux\Steam\SteamApps\common\skyrim\Uninstal.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{16F5B82C-4838-494A-82E7-E8C9CD29F98D}] (...) -- D:\Jeux\Ubisoft\The Elder Scrolls IV - Oblivion\DXREDIST\DXSETUP.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{2D44F9DB-A03A-4B6B-A6D1-DE6D1B095285}] (...) -- E:\RGSC\setup.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{853F5F8C-5F27-4AD5-9250-DEC193CDF6C4}] (...) -- D:\Jeux\Ubisoft\The Elder Scrolls IV - Oblivion\setup.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{88B44700-4EF1-4A3B-B487-34E65E436382}] (...) -- C:\Users\Ehoarn\Desktop\pbsetup.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{93BFF8A3-F171-46D3-AB18-2615BD023A68}] (...) -- D:\Jeux\Star Wars\SETUP.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{9AFBB3FD-1B9C-4FF6-AD90-5580926E9826}] (...) -- D:\Jeux\Tomb Raider - Legend (FR) By Kolrik\Tomb Raider - Legend	rl.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{9B3D3C06-9D21-4A9C-9A3A-44BBFEFC2796}] (...) -- C:\Program Files (x86)\Activision\Marvel - Ultimate Alliance\game.exe (.not file.)     
[MD5.00000000000000000000000000000000] [APT] [{A89C5B2F-50F5-4DD8-A56E-7CAA45AA84EB}] (...) -- C:\Program Files (x86)\Ubisoft\Assassin's Creed Brotherhood\pbsetup.exe (.not file.)     
[MD5.00000000000000000000000000000000] [APT] [{A9C1C007-8714-4975-9BD8-BDE578BD8735}] (...) -- C:\Program Files (x86)\GTA4MODS.com\GTA4 Mod Installer\GTA4mods Mod installer.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{ADD352B5-09C4-44B7-AAB9-49F920C918C0}] (...) -- C:\Users\Ehoarn\Downloads\uni\UninstallTool.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{B6C4DC62-094A-47F2-858F-39CAF5437AC6}] (...) -- D:\Jeux\Eidos\Tomb Raider Anniversary\setup.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{C534EEC6-9616-4832-B880-E4DCAFB9EA2E}] (...) -- C:\Program Files (x86)\Activision\Marvel - Ultimate Alliance\game.exe (.not file.)     
EmptyFlash
EmptyTemp


--> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)

--> Une fois ZHPFix ouvert, clique sur le bouton "H" (Coller les lignes Helper). 

--> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

--> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

--> Une fois terminé, copie-colle le rapport dans ton prochain message.

nanardu78 · Answer

Voilà le rapport :

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012
Fichier d'export Registre : 
Run by Ehoarn at 11/06/2012 02:03:54
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Logiciel(s) ==========
ABSENT Software Key: {77236F9C-987C-40EC-832B-5BD6181E4846}

========== Clé(s) du Registre ==========
ABSENT Key: CLSID BHO: {77F4E711-789B-447F-9614-96759B2F83C6}
ABSENT Key: CLSID BHO: {C84D72FE-E17D-4195-BB24-76C02E2E7C4E}

========== Dossier(s) ==========
SUPPRIME Folder: C:\Program Files (x86)\Yontoo Layers Client
SUPPRIME Folder: C:\Users\Ehoarn\AppData\Roaming\WebPlayerBdd
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Fichier(s) ==========
SUPPRIME File: c:\program files (x86)\mozilla firefox\searchplugins\fcmdsrchw7th.xml
SUPPRIME Reboot c:\windows\system32\autoicli64.dll
SUPPRIME File: c:\windows\sysnative\autoicli64.dll
ABSENT File: c:\users\ehoarn\appdata\local\megamedia\megakey\megaiehelper.dll
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Tache planifiée ==========
SUPPRIME Task: RunAsStdUser Task
SUPPRIME Task: Tomb Raider - Anniversary
SUPPRIME Task: {096A832F-57BC-4E4B-8601-277BFD444137}
SUPPRIME Task: {132DA4EB-AAA7-4556-A257-C927C45B3C54}
SUPPRIME Task: {16F5B82C-4838-494A-82E7-E8C9CD29F98D}
SUPPRIME Task: {2D44F9DB-A03A-4B6B-A6D1-DE6D1B095285}
SUPPRIME Task: {853F5F8C-5F27-4AD5-9250-DEC193CDF6C4}
SUPPRIME Task: {88B44700-4EF1-4A3B-B487-34E65E436382}
SUPPRIME Task: {93BFF8A3-F171-46D3-AB18-2615BD023A68}
SUPPRIME Task: {9AFBB3FD-1B9C-4FF6-AD90-5580926E9826}
SUPPRIME Task: {9B3D3C06-9D21-4A9C-9A3A-44BBFEFC2796}
SUPPRIME Task: {A89C5B2F-50F5-4DD8-A56E-7CAA45AA84EB}
SUPPRIME Task: {A9C1C007-8714-4975-9BD8-BDE578BD8735}
SUPPRIME Task: {ADD352B5-09C4-44B7-AAB9-49F920C918C0}
SUPPRIME Task: {B6C4DC62-094A-47F2-858F-39CAF5437AC6}
SUPPRIME Task: {C534EEC6-9616-4832-B880-E4DCAFB9EA2E}

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
2 : Clé(s) du Registre
4 : Dossier(s)
6 : Fichier(s)
1 : Logiciel(s)
16 : Tache planifiée
1 : Restauration Système


End of clean in 00mn 33s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 11/06/2012 02:03:54 [2394]

Destrio5 · Answer

Redémarre le PC et vois si tout fonctionne bien.

nanardu78 · Answer

Bon ça m'a l'air de fonctionner normalement.

Destrio5 · Answer

1/

---> Télécharge DelFix sur ton Bureau.
* Clique droit sur DelFix et choisis Exécuter en tant qu'administrateur.
* Clique sur le bouton Suppression.
* Poste le rapport (C:\DelFixSuppr.txt).
* Supprime DelFix.


2/

---> Télécharge et installe CCleaner.
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 


3/

---> Installe un antivirus et tu verras s'il te détecte encore quelque chose ou non.

nanardu78 · Answer

Bon j'ai réussi à faire une petite gaffe. J'ai copié collé le rapport mais j'ai supprimé direct DelFix et du coup je peux plus le remettre ici... C'est pas trop grave ? Désolé en tout cas. Pas moyen de le récupérer je suppose ? 
Merci

nanardu78 · Answer

Ccleaner je l'ai déjà sauf que j'en ai un qui s'appelle Cleaner et l'autre Ccleaner64. Je sais pas pourquoi.

Destrio5 · Answer

D'après ce tutoriel :


"Le rapport est sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )"

nanardu78 · Answer

Oui mais en supprimant le logiciel j'ai bien l'impression qu'il a aussi supprimé le rapport. Je sais j'ai vraiment merdé sur ce coup.

Destrio5 · Answer

Ce n'est pas grave.

Tu peux refaire la manip', si DelFix ne trouve rien, c'est qu'il a fait son travail.

nanardu78 · Answer

Super bon alors il ne me trouve rien enfin je crois :

# DelFix v8.8 - Rapport créé le 11/06/2012 à 02:37:43
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Ehoarn - EHOARN-PC (Administrateur)
# Exécuté depuis : C:\Users\Ehoarn\Downloads\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~


~~~~~~ Fichier(s) ~~~~~~


~~~~~~ Registre ~~~~~~


~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [474 octets] - [11/06/2012 02:37:43]

########## EOF - C:\DelFix[S1].txt - [597 octets] ##########

Destrio5 · Answer

Exact.

nanardu78 · Answer

Pour Ccleaner, le quel je lance ? Le Ccleaner ou bien le Ccleaner64 ? Il sont datés du même jour.

nanardu78 · Answer

Le 64 est 2x plus gros.

Destrio5 · Answer

Autant utiliser la version 64 bits puisque tu as un Windows 64 bits.

nanardu78 · Answer

Ok, Ccleaner c'est fait alors je vais réinstaller MSE. Et est-ce que tu aurais un truc pour faire de la place sur mon pc parce que j'ai que 8,3 Mo de libres sur mon disque C même si il me reste les 3 autres disque... Un disque C plein à craquer ça fait ramer un ordi.

Destrio5 · Answer

8.3 Go tu veux dire ?

Dans le rapport ZHPDiag, il y avait écrit :

"System drive C: has 6 GB (5%) free of 116 GB"

Les jeux qui prennent par exemple 10 Go, essaie de les mettre sur une autre partition.

nanardu78 · Answer

J'ai lancé une analyse rapide de MSE donc je vais bien voir et demain je ferrai une analyse complète.

Destrio5 · Answer

Ça roule, bonne nuit.

nanardu78 · Answer

Oui merci beaucoup encore et bonne nuit.

juju666 · Answer

j'ai pas maté le adwcleaner mais ça est à virer aussi : 2012-05-31 15:41 . 2012-05-31 15:41 -------- d-----w- C:\Kreapixel  

les merdes kreapixel (adware)

nanardu78 · Answer

Bonjour, dois-je garder Malwarebytes ? Ccleaner je pense qu'il est bon de le garder après je sais pas à quelle fréquence l'utiliser. Autrement vous me conseillez quoi pour éviter ce genre de problème maintenant ? Un scan de MSE rapide tous les jours ?

Merci en tout cas et bonne journée.

nanardu78 · Answer

Dernière question : Que me conseillez vous pour virer tous mes jeux et les dossiers s'y rapportant qui sont sur mon disque C, sur un autre disque dur (mon pc à quatre disques durs de 250 Go) plutôt que de tous les désinstaller avant de les réinstaller autre part ce qui prend un temps infini pour des jeux de 15 Go ?

Merci à vous.

tanteelise · Answer

Bonjour nanardu78 et bonjour tout le monde ! 

Je vois que tu es sorti de l'auberge ;-) contente pour toi.

Cordialement

nanardu78 · Answer

Heho ! C'est depuis 7h30 que je suis sorti de l'auberge seulement là j'ai un trou entre mes cours  :)

nanardu78 · Answer

Quelqu'un a t il une idée ? J'ai regardé sur comment ça marche mais rien trouvé et sur internet j'ai pas trop confiance dans ce que je trouve.  

Merci 

PS: j'avais oublié que j'avais pas cours cet aprèm (je sais gros flemmard que je suis).

juju666 · Answer

Yop,

Tu peux faire ce ménage : https://gen-hackman.kanak.fr/

nanardu78 · Answer

Super et sinon autre chose, lorsque jevais dans l'onglet historique de MSE, les éléments en quarantaine sont affichés et je peux voir tous les éléments qui ont été trouvés hier dis infectieux. Sont il encore en quarantaine ou sont ils supprimés ?

Je vais essayer le truc de ménage. Merci.

nanardu78 · Answer

Bon j'ai fait un gros nettoyage avec ce que j'ai pu trouver sur vos liens et maintenant je fais une analyse complète de tous mes disques dur pour être sur que tout va bien. Quand j'ai supprimé les virus en quarantaine mon pc m'a mis un code d'erreur mais il a tout supprimer apparemment. Sinon des idées pour déplacer mes jeux sans les désinstaller et en conservant les sauvegardes ?

Merci beaucoup en tout cas.

juju666 · Answer

alors là, ça sort de mon domaine :P

nanardu78 · Answer

Ahah ouais faut pas trop en demander et j'abuse de votre professionnalisme là en plus.

nanardu78 · Answer

Je vais chercher mais si quelqu'un s'y connait, son aide est la bienvenue. Sinon pas d'autre conseil à me donner ? Je vais pouvoir marquer le sujet comme résolut (depuis le temps c'est pas trop tôt). Bon et je vais essayer de faire gaffe parce que y a de belles saloperies sur le net quand même.

nanardu78 · Answer

En réalité l'aventure est peut-être pas terminée puisque je suis en train de faire l'analyse complète de Microsoft Security Essentials et voilà ce qu'il me marque en bas (pas sur que ce soit grave vu qu'il a pas finit son analyse) :

"Les résultats d'analyse préliminaire indiquent la présence de logiciels malveillants ou potentiellement indésirables sur votre ordinateur. Vérifiez les éléments détectés une fois l'analyse terminée."

Bon en gros j'ai plus qu'à attendre que l'analyse soit terminée.

nanardu78 · Answer

J'avais fais supprimer pour les éléments en quarantaine de MSE et il m'en a finalement trouvés trois autres maintenant que le scan complet est fini.   


-------------------------------------------------------------------------------------------------------  
Eléments détectés :         Niveau d'alerte :    Date :                   Action entreprise :  

Trojan:Win64/Sirefef.W    Grave                    11/06/12 17h56    Supprimé  
Trojan:Win64/Sirefef        Grave                    11/06/12 17h56    Supprimé  
Trojan:Win64/Sirefef.Y     Grave                    11/06/12 17h56    Supprimé  
-------------------------------------------------------------------------------------------------------  

Catégorie : Cheval de Troie  

Description : Ce programme est dangereux et il exécute des commandes émanant d'une personne malveillante.  

Action recommandée : Supprimer immédiatement ce logiciel.  

Eléments :  
file:C:\Windows\Installer\{9c5dea40-a09e-25a7-bbb2-65ebfe124d37}\U\80000000.@  

file:C:\Windows\Installer\{9c5dea40-a09e-25a7-bbb2-65ebfe124d37}\U\80000000.@.vir  



Que faire ? Je fais supprimer comme il m'est indiqué de le faire ? Je préfère vous communiquer le chose avant d'agir.


PS: J'avais utiliser hier Avira Antivir Rescue System mais je n'ai pas trop compris à quoi ça avait servit puisque il n'avait fait que renommer les fichiers trouvés et non les supprimés.

juju666 · Answer

ah ben combofix est passé à côté :p

sinon plus de ralentissement ou de recherches sur le web détournée ?

nanardu78 · Answer

Non, je supprime alors ?

juju666 · Answer

bah ça a été supprimé par MSE déjà :)

nanardu78 · Answer

Bon bah super j'ai tout régler et refais une analyse complète de MSE. Tout est plus que nickel. Alors je vais que même pouvoir marquer ce sujet comme résolu (pas trop tôt vous allez me dire). Je voulais en tout cas vous dire merci à tous pour votre assistance durant ces quelques jours. Vous m'avez très clairement indiqué la marche à suivre. Ce forum est vraiment bien franchement. Alors merci encore à tous et si j'ai de nouveaux gros problème je saurai où m'adresser sans hésiter (mais bon heu j'espère que ce sera pas tout de suite parce que perso j'ai eu ma dose avec ce virus). 

Merci et A+.

Trojan

129 réponses

Discussions similaires

Newsletters